Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2008
Программный комплекс
”Шлюз безопасности
CSP VPN Gate. Версия 2.2”
Руководство
администратора
Cisco-like и Специализированные команды
2.36.1 CERTIFICATE.............................................................................................62
2.37.1 DN .............................................................................................................64
2.37.2 FQDN.........................................................................................................65
Password required, but none set Для входа в привилегированный режим требуется
пароль, но он не задан в конфигурации.
2.1 end
Для завершения сессии конфигурирования и возврата в привилегированный режим
EXEC используйте команду end в глобальном режиме.
Синтаксис end
Рекомендации по использованию
Команда end позволяет вернуться в привилегированный режим EXEC независимо от
того, в каком режиме конфигурирования вы находитесь.
При выходе из режима глобального конфигурирования при необходимости происходит
попытка конвертирования конфигурации и все сделанные изменения вступают в силу.
При этом происходит удаление всех установленных ранее соединений (IPSec и
ISAKMP SA).
Эта команда может использоваться в различных режимах конфигурирования.
Используйте эту команду когда вы закончили операции по конфигурированию и
желаете возвратиться в режим EXEC для выполнения шагов по верификации.
Пример
В приведенном примере команда end используется для выхода из режима
конфигурирования Router.
Router# configure terminal
Router(config)# interface fastethernet 0/1
Router(config-if)# exit
Router(config)# end
Router#
Синтаксис exit
Рекомендации по использованию
Используйте команду exit в EXEC режиме для закрытия сессии работы с Продуктом.
Пример
В приведенном примере команда exit (global) используется для выхода из
режима глобального конфигурирования в привилегированный режим EXEC, затем
используется команда disable для перехода в пользовательский режим EXEC и в
конце используется команда exit (EXEC) для выхода из активной сессии.
Router(config)# exit
Router# disable
Router> exit
Синтаксис exit
Рекомендации по использованию
Команда exit используется в интерфейсе командной строки для перехода из
текущего командного режима в режим более высокого уровня иерархии.
Например, при выполнении команды exit из режима глобального конфигурирования
будет произведен переход в привилегированный режим EXEC. Аналогично
производится переход из режимов заданных командами interface, ip access-
list extended, crypto map в глобальный режим конфигурирования.
При выходе из режима глобального конфигурирования все сделанные изменения
вступают в силу. При этом происходит удаление всех установленных ранее
соединений (IPSec и ISAKMP SA).
Пример
Приведенный ниже пример демонстрирует переход из режима конфигурирования
interface в глобальный режим конфигурирования:
Router(config-if)# exit
Router(config)#
2.4 enable
Для входа в привилегированный режим EXEC или для некоторых других настроек
уровня защиты системным администратором используйте команду enable.
Синтаксис enable
Рекомендации по использованию
Вход в привилегированный режим EXEC позволяет использовать привилегированные
команды. Поскольку многие из привилегированных команд устанавливают
операционные параметры, привилегированный доступ должен быть защищен
паролем, чтобы предотвратить неправомочное использование. Если системный
администратор установил пароль командой глобального конфигурирования enable
password или enable secret, этот пароль будет у Вас запрошен до того, как Вам
будет разрешен допуск к привилегированному режиму EXEC. Пароль чувствителен к
регистру.
Если для входа в привилегированный режим EXEC пароль не был установлен, то в
консоль можно будет зайти только привилегированным пользователям.
Пример
В приведенном ниже примере пользователь входит в привилегированный режим,
вводя команду enable и предъявляя пароль. При вводе пароль не показывается.
После этого командой disable пользователь выходит из привилегированного
режима в пользовательский режим:
Router> enable
Password: <letmein>
Router# disable
Router>
Рекомендации по использованию
По команде enable password пароль задается и хранится в открытом виде. Если
посмотреть конфигурацию командой show running-config, то в команде enable
password пароль будет выведен в открытом виде.
По сравнению с Cisco формат данной команды сокращен, там есть возможность
задать зашифрованный пароль командой enable password 7 <encrypted-password>, в
которой используется некоторый обратимый алгоритм шифрования, по которому
можно восстановить исходный пароль. Поэтому Cisco не рекомендует использовать
эту команду, что равносильно заданию открытого пароля.
Чтобы зашифровать вводимый в открытом виде пароль, используйте команду enable
secret 0 password.
В отличие от Cisco не поддерживается вариант записи команды:
enable password 0 <pwd> !!! не поддерживается!!!
Пример
Приведенный ниже пример демонстрирует текст команды для назначения пароля
"qwerty":
Router<config>#enable password qwerty
Router<config>#exit
Рекомендации по использованию
При значении {0} пароль вводится в открытом виде, а затем вычисляется и хранится
MD-5 хэш пароля. Если посмотреть конфигурацию командой show running-config,
то команда
enable secret 0 {password}
будет представлена с зашифрованным паролем в виде
enable secret 5 {password_encrypted}.
При значении {5} считается, что введенный пароль является MD-5 хэшем пароля и в
конфигурации сохраняется без изменения в том виде, в каком и был введен в
команде:
enable secret 5 {password_ encrypted}
Если задать одну из двух команд (в данной версии Продукта они эквивалентны друг
другу):
no enable password
no enable secret
это означает, что вход в привилегированный режим отключается:
• в этом случае запрещается вход в консоль непривилегированному
пользователю (уровень привилегий, отличный от 15). При попытке войти в
консоль, будет выдано сообщение: "Password required, but none set"
(сообщение, аналогичное сообщению Cisco). После этого программа завершит
работу.
• следует соблюдать осторожность: если удалить всех привилегированных
пользователей (с уровнем 15) и отключить пароль на вход в
привилегированный режим, то зайти в консоль больше не удастся! В этом
случае обращайтесь в службу поддержки support@s-terra.com.
Пример
Приведенный ниже пример демонстрирует команду для назначения пароля "qwerty"
для хранения ее внутри в зашифрованном виде:
Router<config>#enable secret 0 qwerty
Router<config>#exit
Рекомендации по использованию
Данная команда используется для получения информации о конфигурации
аппаратной и программной платформ.
Пример
Приведенный ниже пример содержит информацию, которая выводится при
выполнении команды show version:
Router#show version
IOS (tm) C2600 Software (C2600-IK9O3S-M), Version 12.2(13)T5,
RELEASE SOFTWARE (fc1)
Рекомендации по использованию
Данная команда используется для получения информации о Продукте CSP VPN Gate.
Аналогичной команды в Cisco IOS не существует. .
Пример
Приведенный ниже пример содержит информацию, которая выводится при
выполнении команды show version csp:
Router> show version csp
CSP VPN Gate 1000 build 2.1.5865
Рекомендации по использованию
Использовать эту команду имеет смысл только после выхода из режима
конфигурирования, т.е после завершения работы конвертора конфигурации.
В случае, если конфигурирование было неуспешным (завершилось с ошибкой),
команда show load-message выдаст детализированное сообщение об ошибке.
Если конфигурирование завершилось успешно, но с предупреждениями – команда
покажет все предупреждения, которые были выданы конвертором.
Если конфигурирование завершилось без ошибок и предупреждений – команда не
выдаст ничего.
Все сообщения, которые может выдать команда, также выдаются конвертором в лог
во время конвертирования.
Отличие данной команды от подобной команды Cisco IOS:
команда show load-message отсутствует у Cisco.
Пример
Приведенный ниже пример содержит информацию, которая выводится при
выполнении команды show load-message:
Router#show load-message
Crypto map(s) "cmap 10" contain transform sets with different
encapsulation modes.
Tunnel mode is used.
2.10 ping
Для выполнения системной команды Ping используйте команду ping
Рекомендации по использованию
Утилита ping вызывается из состава операционной системы.
Формат вывода данной команды зависит от операционной системы.
Отличие данной команды от подобной команды Cisco IOS:
Формат вывода команды отличается от формата вывода команды Cisco.
Пример
Приведенный ниже пример содержит информацию, которая выводится при
выполнении команды ping
Router#ping 10.0.10.1
2.11 do ping
Для выполнения системной команды Ping используйте команду do ping
Рекомендации по использованию
Данная команда предназначена для выполнения системной функции ping.
Пример
Приведенный ниже пример содержит информацию, которая выводится при
выполнении команды do ping
Router(config)#do ping 10.0.10.1
2.12 run
Команда run позволяет выполнять команды операционной системы из CLI.
Рекомендации по использованию
Данная команда предназначена для выполнения команд операционной системы, а
также для запуска утилит Продукта, описанных в разделе «Специализированные
команды». Вывод команды передается на экран без изменения.
Пример
Приведенный ниже пример содержит информацию, которая выводится при
выполнении команды run /sbin/ifconfig
Router#run /sbin/ifconfig
2.13 do run
Команда do run позволяет выполнять команды командного интерпретатора
операционной системы из конфигурационного режима.
Рекомендации по использованию
Данная команда предназначена для выполнения команд операционной системы, а
также запуска утилит Продукта. Вывод команды передается на экран без изменения.
Пример
Приведенный ниже пример содержит информацию, которая выводится при
выполнении команды do run sa_show:
Router(config)#do run sa_show
Рекомендации по использованию
Для просмотра полного текста конфигурации используйте эту команду.
Пример
Router# show running-config
Building configuration...
interface FastEthernet0/0
ip address 10.0.21.100 255.255.0.0
crypto map fat
!
interface FastEthernet0/1
ip address 192.168.15.10 255.255.255.0
end
Рекомендации по использованию
Для просмотра полного текста конфигурации используйте эту команду.
Пример
Router(config)#do show running-config
end
end
2.16 disable
Команда disable используется для выхода из привилегированного режима EXEC и
перехода в пользовательский режим EXEC .
Синтаксис disable
Рекомендации по использованию
С помощью команды disable можно осуществить переход в пользовательский
режим EXEC.
Пример
Приведенный ниже пример демонстрирует выход из привилегированного режима в
пользовательский EXEC режим:
Router> enable
Password: <letmein>
Router# disable
Router>
Рекомендации по использованию
Используйте эту команду для входа в режим глобального конфигурирования. Следует
помнить, что команды в этом режиме будут записаны в файл действующей
конфигурации сразу после ввода (использования ключей Enter или Carriage Return).
При входе в конфигурационный режим происходит синхронизация политик, описанная
в документе «CSP VPN Gate 2.2. Приложение».
После ввода команды configure системная строка изменится с <Router-name>#
на <Router-name>(config)#, что показывает переход в режим глобального
конфигурирования. Для выхода из режима глобального конфигурирования и возврата
в привилегированный EXEC режим следует ввести команду end или exit.
Для того, чтобы увидеть сделанные изменения в конфигурации, используйте команду
show running-config в EXEC режиме.
Пример
Ниже приведен пример перехода в режим глобального конфигурирования:
Router#configure terminal
Enter configuration commands, one per line.
Router(config)#
Рекомендации по использованию
Данная команда используется для создания нового пользователя, изменения пароля
или уровня привилегий существующего пользователя.
Выдаваемые сообщения
При удалении пользователя, из-под которого запущена cs_console, выдается
сообщение (только для OC Solaris):
% User account cannot be removed: it is in use
Пример
Ниже приведен пример изменения пароля пользователя с именем "cscons":
Router(config)#username cscons password security
Router(config)#end
Рекомендации по использованию
Описанные допустимые символы в имени пользователя связаны с ограничениями на
имя пользователя в разных операционных системах и отличаются от Cisco. В
документации Cisco явно не описаны ограничения на допустимые символы в имени
пользователя в команде username, но эксперименты показывают, что имя
пользователя, удовлетворяющее описанным здесь правилам, подходит и для Cisco.
Ограничение на длину имени создаваемого пользователя связано с тем, что такое
ограничение (хотя и нестрогое, но явно прописанное) есть в Solaris.
При значении {0} пароль вводится в открытом виде, а затем вычисляется и хранится
MD-5 хэш пароля. Если посмотреть конфигурацию командой show running-config,
то команда
username {name} [privileges level] secret 0 {pwd}
будет представлена в виде
username {name} [privileges level] secret 5 {pwd_encrypted}.
При значении {5} считается, что введенный пароль является MD-5 хэшем пароля и в
конфигурации сохраняется без изменения в том виде, в каком и был введен в
команде:
username {name} [privileges level] secret 5 {pwd_encrypted}
Пользователю может быть назначен уровень привилегий из диапазона 0 – 15. Этот
диапазон разделен на два класса: в первом – пятнадцатый уровень, а во втором – с 0
по 14 уровни. Пользователи с уровнем привилегий от 0 до 14 имеют одинаковые
права.
Пользователь с пятнадцатым уровнем привилегий при логировании в интерфейсе
командной строки или графическом интерфейсе сразу получает доступ к
привилегированному режиму специализированной консоли. Пользователей с
пятнадцатым уровнем может быть несколько.
Пользователь с уровнем привилегий от 0 по 14 имеет право доступа к
пользовательскому режиму специализированной консоли. А если этот пользователь
знает пароль доступа к привилегированному режиму, то он может конфигурить шлюз
безопасности. Но пользователь с таким уровнем привилегий не имеет право доступа к
графическому интерфейсу.
Если не указан в команде параметр [privileges level], то будет создан
пользователь с 15 (пятнадцатым) уровнем привилегий.
Удаление пользователя с именем name производится командой
no username {name}
Если имеется только один пользователь с уровнем привилегий 15, то удалить такого
пользователя нельзя.
Если удаляется пользователь, из-под которого запущена cs_console, то текущий
пользователь не удаляется из операционной системы.
Если удаляется пользователь из системы, из-под которого не запущена cs_console:
• если пользователь успешно удален из системы: команда завершается
успешно и пользователь удаляется из Cisco-like конфигурации.
• если пользователя в системе не существует: команда также завершается
успешно и пользователь удаляется из Cisco-like конфигурации.
• если удаление пользователя не прошло (пользователь в системе остался): то
команда завершается с ошибкой, пользователь не удаляется из Cisco-like
конфигурации. Пример такой ситуации: если под Solaris делается попытка
удалить текущего пользователя или любого другого пользователя, который в
данный момент залогинен в системе.
В cs_console команды username password и username secret являются
взаимозаменяемыми – ввод любой из этих команд для существующего пользователя
обозначает изменение пароля, независимо от того, как он был задан ранее.
Выдаваемые сообщения
При удалении пользователя, из-под которого запущена cs_console, выдается
сообщение (только для OC Solaris):
% User account cannot be removed: it is in use
Пример
Ниже приведен пример создания пользователя с именем "admin" и паролем
"security", который будет зашифрован, и уровнем привилегий 15:
Router#configure terminal
Enter configuration commands, one per line.
Router(config)#username admin secret 0 security
Router(config)# exit
2.20 logging
Команда logging используется для задания параметров логирования – IP-адреса
хоста, на который будут посылаться сообщения о протоколируемых событиях.
Сообщения можно посылать только на один адрес. No-форма команды
восстанавливает значение по умолчанию.
Рекомендации по использованию
Команда logging facility задает процесс, который будет выдавать сообщения об
ошибках . Заданное значение logging facility сохраняется в файле
syslog.ini.
При старте консоли источник сообщений записан в файл syslog.ini. После
считывания начальной конфигурации выставляется источник сообщений, описанный в
cisco-like конфигурации. Если в cisco-like конфигурации такое описание отсутствует, то
выставляется значение по умолчанию.
Также значение по умолчанию выставляется и при задании одной из команд:
no logging facility {name}
logging facility 127.0.0.1
no logging
Пример
Ниже приведен пример задания канала лога local1:
Router(config)#logging facility local1
Рекомендации по использованию
Команда logging trap задает необходимый уровень важности логируемых
событий. Если данная команда в конфигурации отсутствует, то выставляется
значение по умолчанию.
Также значение по умолчанию выставляется и при задании одной из команд:
no logging trap {severity}
logging trap informational
no logging
Пример
Ниже приведен пример задания уровня лога critical:
Router(config)#logging trap critical
Рекомендации по использованию
Команда snmp-server community задает значение community string в настройках
SNMP сервера.
Допускается только одна такая команда, так как можно задать только одно значение
community. Повторный запуск этой команды меняет значение строки community.
Если в запросе от SNMP-менеджера строка community отличается от прописанной
community в гейте, то статистика не отсылается.
No-форма этой команды отключает получение статистики по SNMP.
Отключить получение статистики по SNMP можно и командой no snmp-server.
Пример
Ниже приведен пример задания commutity string:
Router(config)#snmp-server community public
string – строка location для SNMP сервера. Допускаются латинские буквы, цифры,
знаки
!”#$%&’()*+,-./;:>=<@[\]^_`{|}~ и пробелы.
Рекомендации по использованию
Команда snmp-server location задает значение system location в настройках
SNMP сервера.
Пример
Ниже приведен пример задания system location string:
Router(config)#snmp-server location Building 1, room 3
Рекомендации по использованию
Команда snmp-server contact задает значение system contact в настройках SNMP
сервера.
Пример
Ниже приведен пример задания contact string:
Router(config)#snmp-server contact Dial system operator
Синтаксис
snmp-server host {host-addr} [traps] [version {1|2c}] {comminity-
string} [udp-port {port}]
no snmp-server host {host-addr} [traps] [version {1|2c}] {comminity-
string} [udp-port {port}]
Рекомендации по использованию
Таких команд может быть несколько, задающих список получателей трапов.
Для отсылки трапов должна быть указана хотя бы одна команда snmp-server host
и команда snmp-server enable traps.
Выбирать отдельные трапы в текущей версии Продукта нельзя.
В команде no snmp-server host обязательно должны присутствовать {host-
addr} и {comminity-string}. Остальные параметры можно не указывать.
Если в команде встречается пара {host-addr} и {comminity-string}, которые
были введены ранее, то эта команда заменяется на новую введенную команду (в ней
могут поменяться версия и порт).
При заданной команде snmp-server enable traps команда snmp-server host
может порождать инкрементальную политику.
Пример
Ниже приведен пример задания получателя SNMP-трапов::
Router(config)#snmp-server host 2.2.2.2 version 2c netsecur udp-port
162
Рекомендации по использованию
Без указания команды snmp-server enable traps трапы отсылаться не будут.
Для отсылки трапа требуется команда snmp-server enable traps и хотя бы одна
команда snmp-server host.
Пример
Ниже приведен пример включения отсылки SNMP-трапов:
Router(config)#snmp-server enable traps
Рекомендации по использованию
В конфигурации используется только одна команда snmp-server trap-source.
Если указана данная команда, то при формировании трапа в SNMP версии 1 в поле
Agent Address прописывается primary-адрес указанного интерфейса.
Если команда snmp-server trap-source не задана или задана ее no-форма, то в
трапе в поле Agent Address прописывается значение 0.0.0.0.
При заданной команде snmp-server enable traps команда snmp-server trap-
source может порождать инкрементальную политику.
Пример
Ниже приведен пример указания имени интерфейса, с которого отсылаются SNMP-
трапы:
Router(config)#snmp-server trap-source fastethernet 0/1
2.29 ip access-list
Команда ip access-list используется для создания именованных списков
доступа. Списки доступа могут быть стандартными и расширенными. Стандартный
список доступа привязывается к интерфейсу, а расширенный список – к интерфейсу
или криптографической карте.
Выполнение команды ip access-list осуществляет вход в режим
конфигурирования списка, в котором с помощью команд deny и permit следует
определить условия доступа.
Рекомендации по использованию
Команда ip access-list с опцией standard используется для создания и
редактирования стандартных списков доступа (config-std-nacl). Стандартные списки
доступа используются для фильтрации пакетов только по IP-адресу отправителя
(источника) пакетов.
Команда ip access-list с опцией extended используется для создания и
редактирования расширенных списков доступа (config-ext-nacl). Расширенные списки
доступа используются для более гибкой фильтрации пакетов - по IP-адресу
отправителя пакета, IP-адресу получателя пакета, по типу протокола, порту
отправителя пакета и порту получателя.
Редактирование записей списков доступа производится с помощью команд permit и
deny. В зависимости от того в каком режиме производится редактирование,
возможности команд permit и deny будут различаться.
Пример
Ниже приведен пример создания списка доступа с именем E105:
Router(config)#ip access-list extended E105
Режимы команды
config-std-nacl (режим редактирования стандартных списков доступа).
Рекомендации по использованию
Команда permit в режиме конфигурирования стандартных списков доступа
используется для разрешения трафика, исходящего от указанного источника.
Пример
Приведенный ниже пример демонстрирует создание стандартного списка доступа с
именем "a133", в котором используются команды запрета трафика от подсети
192.5.34.0 и хоста 3.3.3.3, и разрешение трафика от любого источника:
Router(config)#ip access-list standard a133
Router(config-std-nacl)#deny 192.5.34.0 0.0.0.255
Router(config-std-nacl)#deny host 3.3.3.3
Router(config-std-nacl)#permit any
Router(config-std-nacl)#exit
Синтаксис
Режимы команды
config-ext-nacl (режим редактирования расширенных списков доступа).
Рекомендации по использованию
Используйте эту команду после входа в режим редактирования расширенного списка
доступа для разрешения прохождения трафика между отправителем и получателем.
Привязка списка доступа к криптокарте (шифрованный список) осуществляется
командой match address (crypto map), а уже криптокарта к интерфейсу -
командой crypto map (interface). Для привязки списка доступа к интерфейсу
(фильтрующий список) используйте команду ip access-group (interface).
Пример
Приведенный ниже пример демонстрирует добавление в расширенный список
доступа с именем "a101" записи, разрешающей трафик между хостами 1.1.1.1 и 2.2.2.2
по протоколу udp:
Router(config)#ip access-list extended a101
Router(config-ext-nacl)#permit udp host 1.1.1.1 host 2.2.2.2
Router(config-ext-nacl)#exit
Режимы команды
config-std-nacl (режим редактирования стандартных списков доступа).
Рекомендации по использованию
Команда deny в режиме конфигурирования стандартного списка доступа
используется для запрета трафика, исходящего от указанного источника.
Пример
Приведенный ниже пример демонстрирует создание стандартного списка доступа с
именем "a133", в котором используются команды запрета трафика от подсети
192.5.34.0 и разрешение трафика от подсетей 128.88.0.0 и 36.0.0.0
Router(config)#ip access-list standard a133
Router(config-std-nacl)#deny 192.5.34.0 0.0.0.255
Router(config-std-nacl)#permit 128.88.0.0 0.0.255.255
Router(config-std-nacl)#permit 36.0.0.0 0.255.255.255
Router(config-std-nacl)#exit
Router(config)#
Синтаксис
deny protocol source source-wildcard [operator port [port]]
destination destination-wildcard [operator[port]]
Режимы команды
сonfig-ext-nacl (режим редактирования расширенных списков доступа).
Рекомендации по использованию
Используйте эту команду после входа в режим редактирования расширенного списка
доступа для запрета прохождения трафика между указанными источником и
получателем.
Пример
Приведенный ниже пример демонстрирует добавление в расширенный список
доступа с именем "a101" записи, запрещающей весь трафик к хосту 2.2.2.5:
Router(config)#ip access-list extended a101
Router(config-ext-nacl)#deny ip any host 2.2.2.5
Синтаксис
access-list {number} {permit | deny} source [source-wildcard]
no access-list {number}
Рекомендации по использованию
Команда access-list используется для создания и редактирования нумерованных
стандартных списков доступа. Стандартные списки доступа используются для
фильтрации пакетов только по IP-адресу отправителя (источника) пакетов.
Пример
Ниже приведен пример создания списка доступа с номером 10, запрещающий трафик
от хоста с адресом 10.1.1.2:
Router(config)#access-list 10 deny host 10.1.1.2
Синтаксис
access-list {number} {permit | deny} protocol source source-wildcard
[operator port[port]] destination destination-wildcard [operator
port [port]]
Рекомендации по использованию
Команда access-list используется для создания и редактирования нумерованных
расширенных списков доступа. Расширенные списки доступа используются для более
гибкой фильтрации пакетов - по адресу отправителя пакета, адресу получателя
пакета, по типу протокола, порту отправителя пакета и порту получателя.
Пример
Ниже приведен пример создания списка доступа с номером 100:
Router(config)#access-list 100 deny tcp host 10.1.1.2 host 2.2.2.2
eq 22
Рекомендации по использованию
Используйте эту команду для назначения доменного имени по умолчанию. В этом
случае все имена хостов, которые не содержат отделенного точкой доменного имени,
будут дополнены доменным именем по умолчанию.
Пример
Ниже приведен пример назначения доменного имени по умолчанию example.com:
Router(config)#ip domain name example.com
2.33 ip host
Чтобы определить соответствие между именем хоста и его IP-адресами используйте
команду ip host. Для удаления соответствия используется no-форма команды.
Рекомендации по использованию
Используйте эту команду, чтобы определить соответствие между именем хоста и его
IP-адресами используйте команду ip host.
.
Пример
Ниже приведен пример задания соответствия хоста test двум IP-адресам:
Router(config)#ip host test 10.10.10.1
Router(config)#ip host test additional 10.10.10.2
2.34 ip route
Для добавления записи в таблицу локального роутинга используйте команду ip
route. Для удаления роутинга используется no-форма команды.
Синтаксис
ip route prefix mask {ip-address |interface-type interface-number}
[distance]
no ip route prefix mask
prefix старшая общая часть IP-адресов, до которой прописывается
роутинг. Для определения маршрута, который будет
использоваться по умолчанию, IP-адрес должен быть равен 0.0.0.0.
mask маска хоста или подсети, до которой прописывается роутинг. Для
определения маршрута, который будет использоваться по
умолчанию, маска подсети должна быть равна 0.0.0.0.
ip-address IP-адрес шлюза, через который прописывается роутинг.
interface-type тип локального интерфейса - fastethernet
interface-number порядковый номер интерфейса
distance Метрика маршрута, целое число из диапазона 1.. 255. В качестве
метрики маршрута пользователь может установить любой
показатель: длину маршрута, число промежуточных
маршрутизаторов, надежность, задержку, затраты на передачу и др.
Режимы команды
Global configuration. Выполнение этой команды осуществляет вход в режим ca
trustpoint configuration.
Рекомендации по использованию
Используйте эту команду для объявления имени корневого СА, который имеет
самоподписанный сертификат. Выполнение этой команды также осуществляет вход в
режим ca trustpoint configuration, в котором могут выполняться следующие команды:
crl query– служит для настройки параметров получения CRL.
crl optional|best_effort – указывает режим использования CRL.
exit – осуществляет выход из режима ca trustpoint configuration.
Пример
Ниже приведен пример использования команды crypto ca trustpoint.
Объявляется СА с именем "ka" и указывается, что проверка CRL необязательна:
Router(config)#crypto ca trustpoint ka
Router(ca-trustpoint)#crl optional
Значение по умолчанию
Если адрес LDAP сервера явно не задан - запросы CRL будут отправляться на адрес,
указанный в поле CDP.
Рекомендации по использованию
Используйте команду crl query, если сертификаты не содержат точного указания
места, откуда может быть получен CRL. При задании url используйте только IP-
адрес и возможно порт.
Сначала делается попытка установить соединение по LDAP версии 2. Если эта
попытка завершается с ошибкой LDAP_PROTOCOL_ERROR (наиболее вероятная
причина - не поддерживается версия 2), то повторяется попытка установить
соединение по LDAP версии 3.
Отличие данной команды от подобной команды Cisco IOS:
На LDAP url наложено ограничение - допускается задание только IP-адреса и,
возможно, порта. Если задано DNS-name, то данный url игнорируется.
Пример
Ниже приведен пример использования команды crl query. Объявляется СА с именем
"bar" и указывается адрес, по которому следует искать CRL:
Router(config)#crypto ca trustpoint bar
Router(ca-trustpoint)#crl query ldap://10.10.10.10
Рекомендации по использованию
Если на компьютере нет подходящего CRL и нет возможности его получить, то только
локальные и trusted сертификаты будут признаваться действительными, а остальные
– недействительными.
При установке режима optional будет производиться попытка воспользоваться CRL
из базы Продукта, но не будет производиться попытка получить его по LDAP. В этом
случае, если не будет найден действующий CRL, сертификат не будет признан
отозванным, а всегда будет приниматься.
В режиме best-effort для проверки приходящих сертификатов используется
действующий CRL. Для получения CRL будет предпринята попытка получить его по
LDAP. Запросы на CRL отправляются на адрес LDAP сервера, указанный в команде
crl query, в противном случае на адрес, указанный в поле сертификата CDP. Если
же попытки получить CRL не увенчались успехом, подлежащий проверке сертификат
будет принят. Единственными условиями его принятия будут не истекший срок его
действия и что его издал CA, который объявлен как trusted CA.
Пример
Ниже приведен пример использования команды crl. Объявляется СА с именем "bar" и
указывается адрес, по которому следует искать CRL для проверки сертификата:
Router(config)#crypto ca trustpoint bar
Router(ca-trustpoint)#crl query ldap://10.10.10.10
Router(ca-trustpoint)#crl best_effort
Router(ca-trustpoint)#exit
name Имя СА. Используйте тоже имя, когда вы объявляете СА, используя
команду crypto ca trustpoint.
Рекомендации по использованию
Используйте эту команду для входа в режим редактирования цепочки сертификатов. В
пределах одного truspoint допускаются любые СА сертификаты, не только из одной
цепочки. Находясь в этом режиме, можно удалять сертификаты.
Отличие данной команды от подобной команды Cisco IOS:
• в Cisco по show run в команде crypro ca certificate chain показываются
CA сертификаты и локальные сертификаты. В Cisco через эту команду можно
посмотреть и удалить СА и локальные сертификаты, а ввести можно только CA
сертификаты, локальные сертификаты таким образом ввести нельзя (они будут
неработоспособны без секретного ключа). В Продукте в cs_console данная
команда используется только для работы с CA сертификатами.
• в Cisco используются только RSA-сертификаты. В Продукте под обозначением
RSA могут использоваться RSA, ГОСТ и DSA-сертификаты. Но должно
соблюдаться строгое соответствие: RSA CA сертификат подписывает только
RSA-сертификаты, ГОСТ CA сертификат подписывает только ГОСТ
сертификаты, DSA CA сертификат подписывает только DSA-сертификаты.
• следует учитывать, что в конфигурации не задается точных критериев выбора
локального сертификата (в терминах Native LSP задается
USER_SPECIFIC_DATA). В связи с этим возможны ситуации, при которых не
установится соединение, если присутствуют больше одного локального
сертификата, подписанного разными CA.
• пример подобной ситуации: у партнера не прописана посылка Certificate
Request, и партнер ожидает от гейта конкретный сертификат (который
действительно присутствует), но гейт по своим критериям выбирает
другой сертификат, который не подходит партнеру.
• как правило, таких проблем не возникает, если соблюдаются следующие
условия:
• у обоих партнеров прописана отсылка Certificate Request. По
умолчанию конвертер именно так и делает. Cisco в большинстве
случаев поступает также.
• не используется Aggressive Mode при работе с сертификатами
(экзотический случай).
• у партнера должны быть явно указаны CA-сертификаты, которыми
может быть подписан локальный сертификат гейта. В Native LSP гейта
– атрибут AcceptCredentialFrom (cs_converter вписывает все CA-
Пример
Пример использования команды crypto ca certificate chain приведен к
команде certificate.
2.36.1 certificate
Команда certificate используется для регистрации (импорта) СА сертификатов.
Данная команда работает в режиме certificate chain configuration. Для удаления
сертификатов используйте эту команду с префиксом no.
Рекомендации по использованию
Указанный в команде порядковый номер СА сертификата в шестнадцатеричном
представлении может быть любым, так как в данном релизе не используется.
Используйте эту команду для добавления или удаления сертификатов СА.
Для добавления сертификата после ввода порядкового номера сертификата и
нажатия Enter осуществляется переход в режим config-pubkey, в котором нужно
ввести сертификат СА в шестнадцатеричном представлении.
Можно воспользоваться любыми свободно распространяемыми утилитами для
конвертирования файла с СА сертификатом из бинарного представления в
шестнадцатеричное, например, bin2hex.exe.
Пример
Ниже приведен пример добавления сертификата с порядковым номером 012:
Рекомендации по использованию
После ввода команды crypto identity name введите идентификатор типа dn и
fqdn. Идентификатор dn представляет собой законченное либо незаконченное
значение поля Subject сертификата партнера. Идентификатор fqdn имеет формат
доменного имени. Ниже дано описание команд dn и fqdn.
Пример
Router(config)#crypto identity myident
Router(config-crypto-identity)#dn c=ru,o=s-terra
Router(config-crypto-identity)#fqdn s-terra.com
Router(config-crypto-identity)#exit
2.37.1 dn
Синтаксис dn name_attr1=string1[,name_attr2=string2]
no dn name_attr1=string1[,name_attr2=string2]
Рекомендации по использованию
При поиске и сравнении c сертификатом партнера поле Subject этого сертификата
должно содержать указанное множество атрибутов и их значений в команде dn.
Пример
Router(config)#crypto identity myident
Router(config-crypto-identity)#dn c=ru,o=s-terra,ou=test
Router(config-crypto-identity)#exit
2.37.2 fqdn
Пример
Router(config)#crypto identity myident
Router(config-crypto-identity)#fqdn s-terra.com
Router(config-crypto-identity)#exit
Синтаксис
Рекомендации по использованию
Используйте эту команду для изменения установленных значений времени жизни SA.
Следует помнить, что уменьшение времени жизни SA ведет к повышению уровня
защиты соединения, но повышает нагрузку на процессор, что, в свою очередь, ведет к
снижению пропускной способности.
На стадии обсуждения условий создания новой SA устанавливается минимальное
время жизни SA из предложенных сторонами.
Существуют два параметра, ограничивающие время жизни SA – время в секундах и
количество переданной и принятой информации в килобайтах. Ограничение всегда
будет действовать по достижении лимита любым из этих параметров. Например,
закончилось время жизни, установленное в секундах, а ограничение по трафику не
выполнено и на половину. В этом случае будет действовать ограничение по времени.
Пересоздание SA не будет в случае отсутствия трафика между партнерами.
Если закончилось время жизни и SA уже не существует, то новый SA не установится,
если не будет трафика.
Изменения вступят в силу после выхода из режима global configuration командой
exit.
Пример
Ниже приведен пример установки времени жизни SA равного 1600 сек:
Router(config)#crypto ipsec security-association lifetime seconds
1600
Синтаксис
Режимы команды
Global configuration. Выполнение этой команды осуществляет вход в режим crypto
transform configuration.
Рекомендации по использованию
Набор преобразований – это приемлемая комбинация протоколов защиты,
криптографических алгоритмов и других параметров, применяемых в защищаемом
IPSec трафике. В процессе согласования параметров IPSec SA партнеры
соглашаются на использование конкретного набора преобразований для защиты
конкретного потока данных.
Вы можете сконфигурировать несколько наборов преобразований и затем назначить
один или более из них конкретной записи криптографической карты. Набор
преобразований, указанный записи криптографической карты, используется при
согласовании параметров IPSec SA для защиты потока данных, определенного в
списке доступа записи криптографической карты.
Пример
В приведенном ниже примере сконфигурированы два набора преобразований,
использующие криптографические алгоритмы различной сложности:
Router(config)#crypto ipsec transform-set ts esp-3des esp-sha-hmac
Router(config)#crypto ipsec transform-set gost ah-md5-hmac esp-des
Рекомендации по использованию
Пример
Router(config)#crypto ipsec transform-set inner-tunnel ah-md5-hmac
esp-des esp-md5-hmac
Router(cfg-crypto-trans)#mode tunnel
Router(cfg-crypto-trans)# exit
Рекомендации по использованию
Пример
Ниже приведен пример как очистить поле DF-бит в пакетах, проходящих через все
интерфейсы:
Router(config)#crypto ipsec df-bit clear
Синтаксис
Значение по умолчанию
По умолчанию локальные пулы адресов не связаны с протоколом IKE.
Рекомендации по использованию
Используйте команду crypto isakmp client configuration address-pool
local для глобальной привязки пула адресов с именем pool-name ко всем
криптокартам в рамках использования протокола IKE.
Для привязки пула адресов с именем pool-name к криптокартам с именем map-name
используется команда crypto map map-name client configuration address
{initiate|respond}.
Для отмены глобальной привязки пула адресов к конкретной криптокарте используйте
команду set pool <none>. А для установления привязки конкретной криптокарты к
пулу адресов с именем name используйте команду set pool name в режиме
конфигурирования команды crypto map map-name seq-num ipsec-isakmp.
Пример
Ниже приведен пример привязки локального пула адресов "main" к криптокартам с
именем “dmap” для использования в рамках протокола IKE:
Router(config)#crypto isakmp client configuration address-pool local
main
Router(config)# crypto map dmap client configuration address
initiate
Используйте эту команду для указания того, что по данной криптографической карте
будет происходить конфигурирование IP-адреса партнера.
В данном релизе опции initiate и respond работают одинаково в том смысле, что
если задана команда
crypto map map-name client configuration address initiate,
то это означает, что задана и команда
crypto map map-name client configuration address respond
и наоборот.
Пример
Ниже приведен пример создания локального пула "main", его привязка к
криптографической карте "card2" и задания способа конфигурирования партнера в
рамкам протокола IKECFG:
Router(config)#ip local pool main 1.1.1.1 1.1.1.2
(создание пула адресов)
Router(config)#crypto isakmp client configuration address-pool local
main (указывается пул, который будет использоваться)
Синтаксис
Значение по умолчанию
По умолчанию установлен тип идентификатора address.
Рекомендации по использованию
Используйте эту команду для указания, какой тип идентификатора должен быть
использован в рамках протокола IKE. Возможно три варианта address, hostname и dn.
Идентификатор типа address как правило используется, если компьютер имеет только
один интерфейс с постоянным IP-адресом.
Идентификатор типа hostname как правило используется, если компьютер имеет
более одного интерфейса или же если имеется один интерфейс, но нет постоянного
IP-адреса.
Рекомендуется для всех партнеров использовать единый тип идентификатора: либо
address либо hostname либо dn.
Идентификатор dn используется только при работе с сертификатами.
Пример
Ниже приведен пример указания типа идентификатора address:
Router(config)#crypto isakmp identity address
Синтаксис
Рекомендации по использованию
Используйте эту команду для отправки сообщений, подтверждающих активность
партнера (в рамках протокола IKE).
Пример
Ниже приведен пример активации процесса отправки сообщений, в случае если от
партнера не было получено пакетов в течение 30 секунд. Пакеты процесса будут
отсылаться через 3 секунды:
Router(config)#crypto isakmp keepalive 30 3
Рекомендации по использованию
После выполнения этой команды используйте команду set aggressive-mode
client-endpoint для установления aggressive режима в рамках протокола IKE.
В отличие от Cisco не поддерживается вариант команды с hostname:
crypto isakmp peer {hostname ip-address}
Пример
Ниже приведен пример назначения адреса партнера, с которым предполагается
aggressive mode для инициации IKE обменов:
Router(config)#crypto isakmp peer address 4.4.4.1
Синтаксис
Рекомендации по использованию
Команда set aggressive-mode client-endpoint может быть использована
только в режиме ISAKMP peer configuration. Для входа в этот режим необходимо
выполнить команду crypto isakmp peer address.
Пример
Для описания правила создания туннеля по нашей инициативе в Aggressive mode с
учетом того, что IP-адрес партнера 4.4.4.1, а IP-адрес локального устройства 4.4.4.2
используются команды:
Router(config)#crypto isakmp peer address 4.4.4.1
Router(config-isakmp-peer)#set aggressive-mode client-endpoint ipv4-
address 4.4.4.2
Router(config-isakmp-peer)#set aggressive-mode password 1234567890
Рекомендации по использованию
Данная команда игнорируется в конфигурации и не влияет на логику работы
конвертора.
Пример
Ниже приведен пример создания IKE политики, состоящей из двух наборов
параметров и имеющих приоритеты 15 и 20:
Router(config)#crypto isakmp policy 15
Router(config-isakmp)#hash md5
Router(config-isakmp)#authentication rsa-sig
Router(config-isakmp)#group 2
Router(config-isakmp)#lifetime 5000
Router(config-isakmp)#exit
Router(config)#crypto isakmp policy 20
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#lifetime 10000
Router(config-isakmp)#exit
Рекомендации по использованию
Используйте эту команду для назначения алгоритма шифрования, используемого в
рамках протокола IKE или для восстановления значения по умолчанию. Данная
команда работает в режиме ISAKMP policy configuration.
Пример
Ниже приведен пример назначения алгоритмом шифрования, используемого в рамках
протокола IKE алгоритма 168-bit DES-CBC (3DES). Остальные параметры
устанавливаются по умолчанию:
Router(config)#crypto isakmp policy 10
Router(config-isakmp)#encryption 3des
Router(config-isakmp)#exit
Рекомендации по использованию
Используйте эту команду для назначения хэш-алгоритма, используемого в рамках
протокола IKE или для восстановления значения по умолчанию. Для работы на
ГОСТовых сертификатах установите значение хэш-алгоритма md5. Данная команда
работает в режиме ISAKMP policy configuration.
Пример
Ниже приведен пример назначения хэш-алгоритмом, используемого в рамках
протокола IKE, алгоритма ГОСТ Р 34.11-94 HMAC. Остальные параметры
устанавливаются по умолчанию:
Router(config)#crypto isakmp policy 10
Router(config-isakmp)#hash md5
Router(config-isakmp)#exit
Рекомендации по использованию
Используйте эту команду для указания метода аутентификации, используемого в
рамках протокола IKE или для восстановления значения по умолчанию. Данная
команда работает в режиме ISAKMP policy configuration.
Аутентификация может осуществляться только с использованием Preshared Key или
RSA подписи. RSA подпись может обозначать также и ГОСТ и DSA подпись.
Пример
Ниже приведен пример назначения метода аутентификации на предопределенных
ключах, используемого в рамках протокола IKE. Остальные параметры
устанавливаются по умолчанию:
Router(config)#crypto isakmp policy 10
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#exit
Синтаксис group {1 | 2| 5}
no group
Рекомендации по использованию
Используйте эту команду для указания Diffie-Hellman группы, которая будет
использоваться в рамках протокола IKE или для восстановления значения по
умолчанию. Данная команда работает в режиме ISAKMP policy configuration.
Пример
Ниже приведен пример указания 1024-bit Diffie-Hellman группы. Остальные параметры
устанавливаются по умолчанию:
Router(config)#crypto isakmp policy 10
Router(config-isakmp)#group 2
Router(config-isakmp)#exit
Рекомендации по использованию
Используйте эту команду для указания времени жизни IKE SA или для
восстановления значения по умолчанию. Отсутствует возможность установить
неограниченное время жизни IKE SA. Данная команда работает в режиме ISAKMP
policy configuration.
Пример
Ниже приведен пример установки времени жизни IKE SA равным 1200 секунд (20
минут). Остальные параметры устанавливаются по умолчанию:
Router(config)#crypto isakmp policy 10
Router(config-isakmp)#lifetime 1200
Router(config-isakmp)#exit
Синтаксис
Режимы команды
Global configuration. Данная команда осуществляет переход в режим crypto map
configuration.
Значение по умолчанию
Нет предустановленных криптографических карт.
Рекомендации по использованию
Данная команда используется для создания новых записей в криптографической
карте или изменения существующих записей.
Ключевое слово ipsec-isakmp обязательно должно присутствовать как при создании
новой crypto map (также как в Cisco), так и при редактировании уже существующей
(в Cisco в этом случае допускается сокращенная запись).
Не поддерживается тип ipsec-manual и задание crypto map profile.
Команда crypto map осуществляет переход в режим конфигурирования
криптографических карт (Crypto map configuration). В этом режиме могут быть
настроены (отредактированы) такие параметры, как привязка к записи
криптографической карты списка доступа (access list), партнера, установка опции PFS,
установка времени жизни SA и др. В режиме конфигурирования могут использоваться
следующие команды:
Пример
Ниже приведен пример использования команды crypto map:
Router(config)#crypto dynamic-map mydynamicmap 10
Router(config-crypto-map)#match address 103
Router(config-crypto-map)#set transform-set my_t_set1 my_t_set2
my_t_set3
Пример
Ниже приведен пример с минимальными требованиями конфигурирования
криптографической карты с использованием IKE для создания SA.
Router(config)#crypto map mymap 10 ipsec-isakmp
Router(config-crypto-map)#match address 101
Router(config-crypto-map)#set transform-set my_t_set1
Router(config-crypto-map)#set peer 10.0.0.1
Рекомендации по использованию
Данная команда используется для указания партнера по защищенному
взаимодействию в криптографической карте.
Эта команда требуется для всех статических криптографических карт. Для
динамических карт эта команда не обязательна и, в большинстве случаев, не
используется (потому что в основном партнер неизвестен).
Можно назначить несколько партнеров путем повторения выполнения команды.
Попытка создать SA будет предпринята с партнером, заданным первым. Если попытка
не удается для первого партнера, IKE пробует обратиться к следующему партнеру из
списка криптографической карты.
Пример
Ниже приведен пример с минимальными требованиями конфигурирования
криптографической карты с использованием IKE для создания SA.
Router(config)#crypto map mymap 10 ipsec-isakmp
Router(config-crypto-map)#match address 101
Router(config-crypto-map)#set transform-set my_t_set1
Router(config-crypto-map)#set peer 10.0.0.1
Рекомендации по использованию
В процессе согласования параметров SA будет затребовано включение опции PFS.
Если при конфигурировании записи криптографической карты DH группа не была
указана, то будет предложено использовать group1 (значение по умолчанию). Если
создание SA инициировано партнером, а локальная конфигурация требует
использования PFS, то, либо партнер принимает условие использования PFS, либо
SA не будет установлена. Если в локальной конфигурации явно прописано
использование group2, эту же группу должен принять партнер в процессе
согласования параметров, иначе SA не будет установлена.
Использование PFS усиливает уровень защиты потому, что даже если один из
сессионных ключей будет взломан атакующей стороной, то только та часть данных,
которая была зашифрована на этом ключе, может быть скомпрометирована. Без
использования PFS скомпрометированными могут оказаться все данные,
передаваемые в рамках созданной SA.
При использовании PFS при каждом создании новой SA будет производиться новый
обмен ключами Diffie-Hellman. Подобный обмен потребует дополнительных ресурсов
процессора.
Пример
Ниже приведен пример требования на использования PFS с группой group2 для
записи номер 10 криптографической карты "mymap":
Router(config)#crypto map mymap 10 ipsec-isakmp
Router(config-crypto-map)#set pfs group2
Команда указывает пул адресов для IKECFG, заданный командой ip local pool.
Использование данной команды возможно только для ipsec-isakmp записей в
криптографических картах.
Команда set pool <none> используется для следующего случая:
если с помощью команды crypto isakmp client configuration address-
pool local pool-name задается глобальная привязка криптокарт к пулу с
именем pool-name, а командой crypto map map-name client
configuration address {initiate|respond} будет выставляться привязка
всех криптокарт с именем map-name к пулу с именем pool-name в том случае,
если для этих криптокарт не задан явно пул с помощью команды set pool или
не выставлена команда set pool <none>, которая в данном случае обозначает,
что для этой криптокарты не осуществляется привязка к пулу. А для
динамической криптокарты используется команда crypto dynamic map map-
name client configuration address.
Замечание:
Если адреса для пула выделены из внутренней подсети, защищаемой гейтом (CSP
VPN Gate), то при выделении партнерам адресов из такого пула необходимо
прописать в таблице маршрутизации роутинг на IP-адреса из этого пула через
интерфейс роутера, а не через внешний интерфейс гейта (CSP VPN Gate) командой
ip route.
Если адреса пула не пересекаются с адресами внутренней подсети, защищаемой
гейтом (CSP VPN Gate), то при выделении адресов из такого пула роутинг на адреса
из такого пула можно прописать через внешний интерфейс гейта, установленного по
умолчанию.,
Пример
Приведен пример создания и привязки пула адресов "mypool" к записи номер 10
криптографической карты "mymap":
Router(config)#ip local pool mypool 10.10.10.10 10.10.10.20
Рекомендации по использованию
Использование данной команды возможно только для ipsec-isakmp записей в
криптографических картах.
Пример
Ниже приведен пример создания списка идентификаторов "myident" и использование
этого списка записью номер 10 криптографической карты "mymap":
Router(config)#crypto identity myident
Router(config-crypto-identity)#dn c=ru,o=s-terra,cn=test
Router(config-crypto-identity)#exit
Синтаксис
Пример
В приведенном ниже примере показаны шаги по формированию наборов
преобразований и назначению их конкретной (10) записи криптографической карты
"mymap":
Router(config)#crypto ipsec transform-set my_t_set1 esp-des esp-sha-
hmac
Router(config)#crypto ipsec transform-set my_t_set2 ah-sha-hmac esp-
des esp-sha-hmac
Router(config)#crypto map mymap 10 ipsec-isakmp
Router(config-crypto-map)#match address 101
Router(config-crypto-map)#set transform-set my_t_set1 my_t_set2
Router(config-crypto-map)#set peer 10.0.0.1
Router(config-crypto-map)#set peer 10.0.0.2
Синтаксис
Рекомендации по использованию
Используйте эту команду для создания шаблонов политики, которые могут быть
использованы в процессе согласования параметров SA с партнером, даже если вы не
знаете всех параметров криптографической карты, требуемых для взаимодействия с
удаленным партнером (таких, как его IP address). Например, если вы не имеете
полной информации обо всех IPSec партнерах, использование динамических
криптографических карт позволит вам создать SA с подобным партнером. Однако,
процесс создания SA не будет начат до тех пор, пока успешно не завершится
аутентификация IKE.
В режиме конфигурирования криптографической карты могут использоваться
следующие команды (синтаксис этих команд совпадает с синтаксисом таких же
команд при переходе в режим конфигурирования криптографической карты командой
crypto map):
set pfs – устанавливает опцию PFS
set security-association lifetime – устанавливает время жизни IPSec SA.
set transform-set – связывает запись криптографической карты с наборами
преобразований
set pool – устанавливает пул адресов для записи криптографической карты.
set identity – связывает запись криптографической карты со списком
идентификаторов
match address – связывает расширенный список доступа с записью
криптографической карты
exit – выход из режима конфигурирования криптографической карты.
Обязательной командой в этом списке является команда set transform-set.
Пример
Ниже приведен пример использования команды crypto dynamic-map. В этом
примере запись статической криптографической карты "mymap 30" ссылается на
динамическую криптографическую карту
Router(config)#crypto dynamic-map mydynamicmap 10
Router(config-crypto-map)#match address 103
Router(config-crypto-map)#set transform-set my_t_set1 my_t_set2
my_t_set3
2.51 hostname
Команда hostname применяется для назначения или изменения имени хоста.
Рекомендации по использованию
Данная команда прописывает имя хоста как в cisco-like конфигурации, так и в системе.
Имя хоста изменится немедленно.
При назначении или изменении имени хоста следует придерживаться следующих
правил:
• имя хоста – полное доменное имя, включая домен первого уровня
• имя хоста состоит из одного или нескольких слов, разделенных точкой
• каждое слово обязательно должно начинаться с буквы латинского алфавита и
может состоять из букв латинского алфавита (как строчных, так и прописных),
цифр и знака "-" (дефис).
В ОС Solaris при выполнении этой команды имя хоста будет вписано в файл
/etc/nodename. При следующем рестарте системы это имя будет использовано как
системное имя хоста.
В ОС Linux при выполнении этой команды имя хоста будет вписано в параметр
HOSTNAME файла /etc/config. При следующем рестарте системы это имя будет
использовано как системное имя хоста.
Пример
Ниже приведен пример изменения имени хоста на "juke-box":
Router(config)# hostname juke-box
2.52 interface
Команда interface применяется для конфигурирования сетевых интерфейсов.
Также эта команда осуществляет вход в режим interface configuration.
Рекомендации по использованию
Используйте эту команду для конфигурирования сетевых интерфейсов. Данная
команда осуществляет вход в режим конфигурирования интерфейсов (interface
configuration), в котором могут выполняться следующие подкоманды:
ip address - в данном релизе Продукта при запуске консоли IP-адреса считываются
с интерфейсов и значения команды ip address устанавливаются автоматически.
Выполнение команды ip address ip-address mask приведет к назначению
вторичного IP-адреса, который будет удален при перезапуске консоли. Для изменения
адреса интерфейса используйте системную команду ifconfig.
ip-access-group – указывает список доступа, который должен отслеживаться на
этом интерфейсе.
crypto map – указывает криптографическую карту, которая назначается интерфейсу.
exit – осуществляет выход из режима конфигурирования интерфейсов.
Пример
Ниже приведен пример выполнения команды interface:
Router(config)#interface fastethernet 0/1
Синтаксис
Рекомендации по использованию
Списки доступа всегда привязываются к внешнему или внутреннему интерфейсам.
При обработке трафика на интерфейсе, связанном со стандартным списком доступа,
при поступлении пакета на интерфейс производится сравнение адреса отправителя
(источника) этого пакета с адресами, содержащимися в списке доступа. Если же
интерфейс связан с расширенным списком доступа, то, кроме адреса отправителя,
будет проверяться и адрес получателя.
Таким образом, при привязке к интерфейсу список доступа всегда указывает
входящий трафик.
Если указан несуществующий список доступа, то все поступающие пакеты будут
пропущены.
Пример
Ниже приведен пример назначения списка доступа 33 интерфейсу fastethernet:
Router(config)#interface fastethernet 0/1
Router(config-if)#ip access-group 33 in
Рекомендации по использованию
Используйте эту команду для назначения интерфейсу криптографической карты.
Интерфейсу может быть назначена только одна криптографическая карта. Если
создано несколько криптографических карт с одним именем, но с разными
порядковыми номерами записей, то они будут считаться частями одной
криптографической карты. Первыми будут применяться записи криптографических
карт, имеющие высший приоритет (минимальное значение порядкового номера).
Crypto ACL ведут себя так же, как в IOS:
• можно указывать правила как по IP-адресу, так и по TCP/UDP- протоколу (без
заметной потери производительности). Также можно назначать диапазон
“range” портов, помня при этом, что VPN Gate будет создавать отдельные SA
для каждого порта.
• при использовании строк с “deny” – соответствующие пакеты будут
пропускаться без шифрования (на правила создания SA эти строки не влияют).
Пример
Ниже приведен пример назначения криптографической карты "mymap" интерфейсу
fastethernet:
Router(config)#interface fastethernet 0/1
Router(config-if)#crypto map mymap
Синтаксис
Рекомендации по использованию
Используйте эту команду для создания IKECFG пула IP-адресов. В этот пул могут
быть выделены адреса как из защищаемой гейтом (CSP VPN Gate) подсети, так и
адреса, непересекающиеся с защищаемой подсетью.
При подключении пользователей они буду получать IP-адреса из этого набора.
Если конечный адрес пула не задан – будет создан пул, состоящий из одного адреса
Созданные пулы адресов используют команды:
crypto isakmp client configuration address-pool local pool-name
set pool (для статической и динамической криптокарты).
Пример
Ниже приведен пример создания пула IP-адресов с именем 'localpool',
содержащего 1024 IP-адреса:
Router(config)#ip local pool localpool 10.1.1.0 10.1.4.255
3 Специализированные команды
(утилиты)
В состав CSP VPN Gate входит также ряд специализированных команд (или утилит),
предназначенных для управления общими настройками Продукта.
Перечень программных утилит, входящих в состав Продукта CSP VPN Gate:
cert_mgr
cert_mgr check
key_mgr
lsp_mgr
if_mgr
dp_mgr
log_mgr
sa_show
lic_mgr
drv_mgr
klogview
Синтаксис
Рекомендации по использованию
Используйте данную команду для ознакомления с содержимым файла, содержащего
сертификаты и CRL, а также для ознакомления с деталями конкретных сертификатов
или CRL.
Для просмотра списка объектов (сертификатов и CRL) в файле или базе Продукта
используйте команду cert_mgr show без указания индексов. В этом случае будет
выведен нумерованный список сертификатов и CRL.
Для ознакомления с деталями конкретного сертификата или CRL обязательно
используйте индекс этого объекта в файле или базе Продукта. В этом случае будет
выведена детальная информация о сертификате или CRL. Для просмотра деталей
нескольких объектов следует последовательно перечислить индексы этих объектов в
опции –i.
Пример
Ниже приведен пример просмотра сертификатов, зарегистрированных в базе
Продукта (trusted – CA сертификат, local –локальный сертификат, remote –
сертификат партнера без контейнера с секретным ключом):
cert_mgr show
Синтаксис
Пример
Создание ключевой пары (в том числе и контейнера с секретным ключом), запроса на
локальный сертификат, создание локального сертификата описано в документе «CSP
VPN Gate 2.2. Приложение».
Регистрация СА сертификата
Для регистрации CA сертификата выполним следующие действия:
1. доставим файл с СА сертификатом на шлюз безопасности. Для доставки можно
воспользоваться утилитой pscp.exe из пакета Putty. Например, для доставки
файла са.cer на шлюз с IP-адресом 192.168.2.254 в предварительно созданный
каталог /certs выполним команду:
pscp ca.cer root@192.168.2.254:/certs
2. с помощью команды cert_mgr import, входящей в состав продукта,
зарегистрируем СА сертификат в базе продукта:
/opt/VPNagent/bin/cert_mgr import –f /certs/ca.cer –t
/opt/VPNagent/bin/cert_mgr show
Синтаксис
Значение по умолчанию
По умолчанию используется RSA алгоритм и ключ длиной 512 бит.
Рекомендации по использованию
Используйте данную команду для создания запроса на сертификат.
Если при написании команды не указать опцию –f с именем файла для размещения
запроса на сертификат, то сформированный запрос будет выведен на экран в
формате b64.
Генерация ключевой пары и запроса на ГОСТ сертификат при использовании СКЗИ
«Сигнал-КОМ CSP 3.1» используется утилита keygen или MS CA, описанные в
документе «CSP VPN Gate 2.2. Приложение».
Генерация ключевой пары и запроса на ГОСТ сертификат при использовании СКЗИ
«КриптоПро CSP 3.0» используется утилита cryptcp или MS CA, описанные в
документе «CSP VPN Gate 2.2. Приложение».
Пример
Ниже приведен пример создания запроса на сертификат:
cert_mgr create -subj O=S-Terra,CN=LocalCert -RSA -1024 -dns
local.s-terra.com -f /opt/VPNagent/bin/certs/local_cert
Рекомендации по использованию
Используйте данную команду для удаления сертификатов из базы Продукта.
Удалять можно как один, так и несколько сертификатов.
Для удаления нескольких сертификатов следует последовательно указать номера
(индексы) удаляемых сертификатов, под которыми они хранятся в базе Продукта.
Для того, чтобы ознакомиться с сертификатами, хранящимися в базе Продукта и
выяснить номера (индексы), под которыми они хранятся в базе, используйте команду
cert_mgr show.
С помощью этой команды из базы нельзя удалять CRL. Если в тексте команды будет
указан номер (индекс) CRL, то будет выведено сообщение об ошибке.
Пример
Ниже приведен пример удаления сертификатов из базы Продукта. При написании
команды были указаны индексы объектов 1, 2 и 3. Индексы 1 и 2 соответствовали
сертификатам, а под индексом 3 в базе хранился список CRL. На попытку удаления
CRL программа выдает сообщение об ошибке:
cert_mgr remove -i 1 -i 2 -i 3
1 OK O=S-Terra,CN=Technological Cert
2 OK O=S-Terra,CN=CA Cert
User error: Certificate index 3 exceeds number of certificates in
base
Рекомендации по использованию
Порядковые номера сертификатов совпадают с номерами объектов, находящихся в
базе Продукта. При указании номеров сертификатов проверяются только они. При
отсутствии номеров сертификатов проверяются все сертификаты, находящиеся в
базе Продукта.
Утилита выводит состояние сертификата "Active" или "Inactive". В случае, если
сертификат имеет состояние "Inactive", то выводится краткое описание причины
неактивности:
• Certificate is invalid – неверный формат сертификата
• Certificate is expired – срок использования сертификата истек или еще
не наступил
• Certificate is revoked – сертификат отозван
• Certificate can not be verified – сертификат не удается проверить:
• в базе отсутствует сертификат(ы) для построения цепочки сертификатов с
корректным конечным CA сертификатом, которому мы доверяем
• в базе нет необходимого CRL для проверки одного из сертификатов
цепочки, подобная ситуация может возникнуть при включении проверки
CRLs (загружена DDP или в загруженной конфигурации явно задано
CRLHandlingMode = ENABLE)
• Private key container is not accessible – нет доступа к контейнеру с
секретным ключом
• Private key is not accessible – нет доступа к секретному ключу
• Private key is not consistent certificate – секретный ключ не
подходит к сертификату
• It is certificate request – данный объект является сертификатным
запросом.
Рекомендации
Используйте данную команду для ознакомления со списком предопределенных
ключей, хранящихся в базе Продукта.
При выполнении этой команды будут выводиться следующие данные:
• количество предопределенных ключей, обнаруженных в базе Продукта
• имя ключа
• тело ключа в печатном виде или hex-представлении. Если тело ключа
содержит непечатные символы, то при выводе в печатном виде они
заменяются на '.' (символ точка).
Пример
Ниже приведен пример выполнения команды key_mgr show:
Found #1 keys.
----Key----
Name : key1
Content testkey1..
Content (hex): 746573746B6579310D0A
Рекомендации
Используйте данную команду для импорта предопределенных ключей из файловой
системы в базу Продукта.
Пример
Ниже приведен пример импорта предопределенного ключа:
key_mgr import -f key1 -n key1name -f key2 -n key2name -f key3
-n key3name
OK key1name
OK key2name
OK key3name
Рекомендации
Используйте данную команду для удаления предопределенных ключей из базы
Продукта.
Пример
Ниже приведен пример удаления предопределенного ключа:
key_mgr remove -n key1name
OK key1name
Рекомендации по использованию
Используйте данную команду для просмотра конфигурации, действующей в данный
момент. В базе Продукта присутствует всего две конфигурации: конфигурация, в
которой записана созданная политика безопасности, и Default Driver Policy.
Независимо от способа создания конфигурации – в командной строке, графическом
интерфейсе, платформе управления CiscoWorks - cisco-like конфигурация
конвертируется в native-конфигурацию.
Поэтому, если текущей является созданная политика безопасности, то по команде
lsp_mgr show на экран будет выведен весь текст native-конфигурации, а если
текущей является политика DDP, то выдается сообщение – Default Driver
Policy is loaded.
При просмотре native-конфигурацию можно сохранить в файл, например
current.lsp, командой
lsp_mgr show > current.lsp,
Пример
Ниже приведен пример вывода текущей конфигурации:
lsp_mgr show
GlobalParameters (
Title = "Automatically generated LSP.
Conversion Date/Time: Thu Feb 19 14:41:08 2004"
Version = "2.1"
CRLHandlingMode = DISABLE
)
ESPProposal ESP_ts_m1_sn1(
Transform* = ESPTransform (
CipherAlg* = "AES-K192-CBC-12"
IntegrityAlg* = "GR341194CPRO1-H96-HMAC-254"
LifetimeSeconds = 3600
LifetimeKilobytes = 4608000
)
)
Рекомендации по использованию
Используйте данную команду для загрузки конфигурации из файла в базу Продукта.
Пример
Ниже приведен пример загрузки конфигурации из файла в базу Продукта:
lsp_mgr load -f default.txt
LSP successfully loaded from file default.txt
Рекомендации по использованию
Используйте данную команду для загрузки конфигурации DDP, которая и будет
являться текущей. По команде lsp_mgr show будет выдано сообщение – Default
Driver Policy is loaded.
Политика драйвера по умолчанию (DDP) задается командой dp_mgr set. При этой
политике пакеты либо все пропускаются либо пропускаются только по протоколу
DHCP.
Пример
Ниже приведен пример загрузки политики DDP:
lsp_mgr unload
Operation completed successfully
Рекомендации по использованию
Используйте команду lsp_mgr reload в следующих случаях:
• для загрузки LSP конфигурации, если перед этим командой lsp_mgr unload
была загружена политика DDP
• для устранения всех установленных соединений с партнерами
• во внештатных ситуациях – зависание Продукта и др.
Пример
Ниже приведен пример загрузки LSP конфигурации из базы Продукта:
lsp_mgr reload
LSP is reloaded successfully.
Рекомендации по умолчанию
Используйте данную команду для просмотра параметров защищаемых сетевых
интерфейсов.
После выполнения этой команды на экран будет выведена следующая информация о
защищаемых сетевых интерфейсах:
• логическое имя, под которым сетевой интерфейс зарегистрирован в базе
Продукта
• физическое имя интерфейса
• список IP-адресов с масками, приписанных данному интерфейсу.
Пример
Ниже приведен пример выполнения команды if_mgr show:
if_mgr show
1)Network Interface Logical name iprb0
1)Network Interface Physical name iprb0
IP – 10.10.10.111, Mask 255.0.0.0
Рекомендации по использованию
Используйте данную команду для регистрации в базе Продукта новых защищаемых
сетевых интерфейсов.
Имена интерфейсов и их IP-адреса можно взять из выводе на экран системной
команды ifconfig –a.
Запрещается при регистрации защищаемого сетевого интерфейса указывать уже
используемый IP-адрес.
Пример
Ниже приведен пример выполнения команды if_mgr add:
if_mgr add -a 10.0.19.2 -l iprb1
Saving hardware interface 10.0.19.2 as iprb1
Рекомендации по использованию
Используйте данную команду для удаления из базы Продукта записей о защищаемых
сетевых интерфейсах. Это может быть полезно если:
• интерфейс не планируется настраивать средствами VPN Gate (например, нет
необходимости использовать для него команды ip access-group или crypto
map (interface))
• интерфейс не будет использоваться вообще.
Пример
Ниже приведен пример выполнения удаления записи о защищаемом сетевом
интерфейсе с логическим именем iprb1:
if_mgr remove -l iprb1
Removing the network interface iprb1
Рекомендации по использованию
Используйте данную команду для просмотра настроек политики DDP.
Пример
Ниже приведен пример выполнения команды dp_mgr show:
dp_mgr show
Default driver policy : passall
Рекомендации по использованию
Используйте данную команду для настройки параметров политики по умолчанию.
Пример
Ниже приведен пример выполнения команды dp_mgr set:
dp_mgr set –ddp passall
Default driver policy is set successfully
Рекомендации по использованию
При установке уровня протоколирования следует помнить, что самый высокий
уровень детализации дает параметр debug, а самый низкий - emerg.
Уровень лога, установленный данной командой, действует только в двух случаях:
• когда не загружена LSP
• когда в LSP не задан уровень лога для какого-либо события (Атрибут
SystemLogMessageLevel, PolicyLogMessageLevel ,
CertificatesLogMessageLevel , LDAPLogMessageLevel ).
На команды cs_console уровень лога, установленный этой утилитой, никак не
влияет.
Пример
Ниже приведен пример выполнения команды log_mgr set:
log_mgr set -l warning
Severity level set to db successfully
Рекомендации по использованию
Используйте данную команду для ознакомления с настройкой уровня
протоколирования событий.
Пример
Ниже приведен пример выполнения команды log_mgr show:
log_mgr show
Log severity level: (3) err
3.20 sa_show
Команда sa_show предназначена для просмотра состояний IPsec SA, ISAKMP SA, IKE
info.
Рекомендации по использованию
Используйте данную команду без указания ключа для вывода информации об IPsec
SA:
• IPsec SA - порядковый номер IPsec SA и для каждого соединения:
• описание партнеров (сначала удаленная часть, затем локальная) - IP-
адрес или диапазон IP-адресов, номер порта (если номер порта не указан,
то выдается *)
• номер протокола (если протокол не указан, то выводится * )
• описание соединения – IPsec протокол (AH|ESP|AH+ESP)
• режим tran(transport)|tunn(tunnel)
• статистика по соединению – количество переданных и принятых байтов.
Пример
Ниже приведен пример выполнения команды sa_show –e:
Рекомендации по использованию
Используйте данную команду для просмотра текущей лицензии.
Синтаксис
Пример
lic_mgr set –c test –n 1 –l 5B271A01DF5D143A
Active license:
CustomerCode=test
ProductCode=CLIENT
LicenseNumber=1
LicenseCode=5B271A01DF5D143A
3.23 drv_mgr
Утилита drv_mgr предназначена для решения проблем, возникающих на CSP VPN
Gate, если на обработку поступает больший объем трафика, чем может обработать
шлюз безопасности. Эту ситуацию будем называть "перегрузка". В связи с перегрузкой
на платформах Solaris и Linux возникают следующие проблемы:
• поскольку обработка сетевого трафика выполняется в приоритетных нитях
ядра OC, нитям "пользовательских" процессов не отдается управление.
Результатом является "подвисание" – невозможность управления компьютером
во время перегрузки
• при перегрузке уничтожаются пакеты, которые не успевают обрабатываться,
при этом приоритет пакетов (поле TOS IP-заголовка) не учитывается.
Качественное решение данных проблем может быть реализовано только в рамках
всего IP стека. Здесь рассмотрим решения только в рамках IPsec драйвера, поэтому
учитываются только те ситуации, где узким местом для трафика является IPsec
драйвер.
Для IPsec драйвера вводятся некоторые настройки. Команда drv_mgr предназначена
для просмотра настроек работы IPsec драйвера - имен поддерживаемых настроек,
режима доступа к ним, размера и диапазона допустимых значений.
Синтаксис drv_mgr
Рекомендации по использованию
ОС Solaris
Для решения первой проблемы, чтобы менее приоритетные нити получали
управление, делается остановка сервис-процедур STREAMS, и возобновление их
работы через некоторое время. Для определения необходимости и времени
остановки введены следующие настройки: pq_do_idle, pq_busy_interval, pq_idle_ratio.
Решение второй проблемы. Стандартными параметрами очередей STREAMS
является уровень заполнения и максимальная вместимость очереди. Эти параметры
задаются при регистрации драйверов и модулей STREAMS. При переполнении
очереди пакеты могут уничтожаться. Для защиты от уничтожения приоритетного
трафика введены настройки: pq_size, pq_low_water, pq_tos_mask, pq_drop_thres,
pq_drop_low_pri.
ОС Linux
Для того чтобы менее приоритетные нити получали управление, нить обработчика
пакетов контролирует время своей непрерывной деятельности. Когда время "сессии"
превышает порог - pq_busy_interval, нить обработчика отдаёт управление системному
планировщику задач - pq_do_idle. Если значение настройки pq_do_idle равно "2", то
производится перемещение нити в конец очереди задач.
Как и для Solaris, введена граница, после которой в очередь может попасть только
высокоприоритетный пакет. Но в Linux очередь ограничена максимальным
количеством пакетов, при достижении которого пакет не будет обработан вне
зависимости от приоритета.
Описание настроек IPsec драйвера для ОС Linux:
Рекомен- Значение
Наименование Размер-
дуемые по Описание
настройки ность
значения умолчанию
pq_psize пакеты 1-1000 100 Максимальное количество пакетов в
очереди, при достижении которого
пакеты начинают уничтожаться.
Пример
pq_size 100000
pq_low_water 70000
pq_tos_mask 255
pq_do_idle 0
pq_busy_interval 100000
pq_idle_ratio 100000
pq_drop_low_pri 0
pq_drop_thres 90
3.27 klogview
Утилита klogview предназначена для просмотра сообщений, генерируемых
системой протоколирования IPsec-драйвера.
Группа
Код Описание
событий
drop 2 Уничтожение пакета. Выводится непосредственно перед
уничтожением какого-либо пакета. Сообщение содержит
краткий текст, поясняющий причину уничтожения и
информацию из IP-заголовка пакета. В некоторых случаях
IP-заголовок может быть испорчен к моменту вывода
сообщения, тогда в сообщении допускаются нулевые или
любые другие случайные адреса.
Группа
Код Описание
событий
sa_major 4 Взаимодействия между IPsec-драйвером и приложением,
касающиеся изменения состояния IPsec-контекстов.
Сообщения содержат номер контекста (ID), который
можно увидеть из сообщения о загрузке контекста.
1
Строка формата по смыслу и стилю похожа на форматную строку в printf.
2
Это не является нормальной ситуацией, просьба сообщать разработчикам о подобных проявлениях.
3
Это не является нормальной ситуацией, просьба сообщать разработчикам о подобных проявлениях.
Испорченные заголовки после раскрытия IPsec, это может быть также связано с
использованием неверного ключа для расшифровки при отсутствии проверки
целостности:
in packet 2.3.4.5:12->3.4.3.3:14, proto 6, if eth0, dropped: SA 33:
can't prase packet headers after decapsulation
Ошибки IPsec:
in packet 2.3.4.5:12->3.4.3.3:14, proto 6, if eth0, dropped: SA 33:
decapsulation error 5: integrity verification failed
out packet 2.3.4.5:12->3.4.3.3:14, proto 6, if eth0, dropped: SA 33:
encapsulation error 4: sequence number wrapped
Код Название
1 replay packet detected
9 IP ttl expired
Другие сообщения:
in packet 2.3.4.5:12->3.4.3.3:14, proto 6, if eth0, dropped: no
matching filtering rule
4
Это является внутренней ошибкой, просьба сообщать разработчикам.
Удаление SA:
removed SA 33
Другие сообщения:
application request to enable SA 33 processed
first packet will trigger rekeying of SA 33
5
Остальные значения флагов не предназначены для интерпретации пользователями.
6
Просьба сообщать разработчикам о возникновении одной из перечисленных ошибок.
7
Сообщения данного раздела предназначены для внутреннего использования. Расшифровка
пользователям Продукта не предоставляется.
Утилита cert_mgr
Текст сообщения Описание проблемы
1 User error: no source file specified Не указан путь к файлу (cert_mgr … -f)
7 Internal error. Unable obtain certs from DB Не удается получить сертификаты из базы
продукта
11 User error: Key KEY1 is not compatible with key Несовместимость ключей
KEY2
14 User error: Unable remove. Base is empty Попытка удаления сертификата из пустой базы
продукта.
15 Internal error:Unable remove object from base Неудачная попытка удаления объекта из базы
продукта
19 User error: INDEX exceeds number of objects Ошибка указания индекса объекта
in NAME
21 User error: CRL can not be removed from base CRL не может быть удален из базы продукта
22 User error: Object index INDEX exceeds Объекта с указанным индексом не существует
number of certificates and CRLs in base
24 User error. Specify certificate request subject Ошибка задания Subject сертификатного
запроса
25 Internal error. Unable to create certificate Ошибка при создании сертификатного запроса
request ERRCODE
26 Unable to put certificate request into base Ошибка при сохранении сертификатного запроса
ERRCODE
27 User Error. Missing index of object to be Не указан индекс объекта при импорте в базу
imported from <FILENAME>. Specify “i” key продукта (cert_mgr import –f file)
and index
28 User Error. Missing index of object to be Нет указан индекс объекта при попытке
removed from base. Specify 'i' key and index удаления из базы
33 Key is not consistent to cert CERT_DSC Секретный ключ не подходит к сертификату или
проверка закончилась неудачей
34 Unable to associate key and crt CERT_DSC Не удалось прикрепить секретный ключ к
сертификату
Утилита key_mgr
Текст сообщения Описание проблемы
1 Internal error: No memory to open file Нет свободной оперативной памяти,
FILENAME необходимой для открытия файла
4 Internal error. Unable to append key into base Ошибка при попытке импорта ключа в базу
KEYNAME продукта.
5 Error: unable to remove key from db Ошибка при попытке удаления ключа из базы
продукта.
Утилита lsp_mgr
Текст сообщения Описание проблемы
1 FILENAME unable to open file Ошибка при попытке открыть файл.
2 Internal error: Unable to set LSP as active Не удалось сделать политику LSP. текущей
5 Internal error: Unable to load lsp from base Не удалось загрузить LSP из базы продукта
Утилита lf_mgr
Текст сообщения Описание проблемы
1 User error. Specify Physical Name Не указано физическое имя сетевого
интерфейса.
2 User error. Specify Logical name and key Не указано логическое имя сетевого
интерфейса.
3 User error. Unable to detect Network Interface Не найден сетевой интерфейс с указанным
NAME именем.
4 User error. Logical name NAME already Сетевой интерфейс с указанным логическим
occupied именем уже существует.
5 User error. Invalid logical name Неправильный формат ввода логического имени.
10 Error. Network Interface with IP-address IP Сетевой интерфейс с указанным IP-адресом уже
already registered by logical name NAME зарегистрирован с логическим именем NAME
12 User error. Specify IP-address or physical name Не задан критерий поиска добавляемого
and corresponding key сетевого интерфейса.
13 User error. Simultaneous definition of IP- Ошибка при попытке описать сетевой интерфейс
address and physical name is prohibited с указанием физического имени и IP-адреса
одновременно.
14 Internal error. Saving interface CODE Ошибка при сохранении описания сетевого
интерфейса.
15 User error. Undefined Network Interface logical При удалении сетевого интерфейса не указано
name NAME его логическое имя.
16 Can't find the network interface NAME Не найден интерфейс с указанным логическим
именем.
Утилита dp_mgr
Текст сообщения Описание проблемы
1 "ddd" is unknown parameter Введен неизвестный параметр.
3 Error %d: Default driver policy is not wrote to db Ошибка при записи Default Driver Policy в базу
продукта.
4 Error %d: Default driver policy is not read from Ошибка при чтении Default Driver Policy из базы
db продукта.
Утилита log_mgr
Текст сообщения Описание проблемы
1 "ddd" is unknown parameter Введен неизвестный параметр.
3 Error %d: Severity level is not wrote to db Ошибка при записи уровня протоколирования
4 Error %d: Severity level is not read from db Ошибка при чтении уровня протоколирования
Утилита lic_mgr
Текст сообщения Описание проблемы
1 User error: <parameter> undefined Не указан один из параметров
3 Internal error: Can’t write license file Ошибка при записи лицензии
Утилита drv_mgr
Текст сообщения Описание проблемы
1 Value for "NAME" is missing. Не задано значение настройки
5 Value of "NAME" cannot be read. Error: DESC. Не удалось получить значение настройки из
драйвера
6 Value of "NAME" is not set to VALUE. Error: Не удалось выставить значение настройки в
DESC. драйвер
7 "Value of "NAME" is not saved to file.\n" Не удалось сохранить значение настройки в cfg
файл
8 Values are not saved to file NAME. Error:DESC. Не удалось сохранить cfg файл